Loading...

Prévention de l'exécution des données et protection contre les attaques par débordement de mémoire tampon
Articles techniques ID:   KB58554
Date de la dernière modification :  03/11/2016
Noté :


Environnement

McAfee VirusScan Enterprise (VSE) 8.x
McAfee Agent (MA) 4.0

Synthèse

Protection contre l'exécution des données et les attaques par débordement de mémoire tampon pour VSE
La prévention de l'exécution des données (DEP) est une fonction du système d'exploitation qui utilise un processeur physique pour marquer la mémoire avec un attribut et indiquer ainsi les zones de la mémoire où l'exécution de code ne doit pas être autorisée. La protection contre l'exécution (aussi appelée NX, pour No eXecute) empêche l'exécution de code à partir de pages de données du tas par défaut, des piles de mémoires et des pools de mémoire. La protection peut être appliquée en mode utilisateur et en mode noyau.


Points à prendre en compte avec DEP lorsque VSE/le service Framework sont exécutés sur le même ordinateur
Microsoft prend en charge la protection contre l'exécution (NX) dans les systèmes d'exploitation Windows XP/SP2 et Windows Server 2003. La protection contre l'exécution est activée par défaut sur ces systèmes d'exploitation quand ils fonctionnent sur des processeurs récents des familles AMD, K8 et Intel® Itanium. Les futurs processeurs 32 bits et 64 bits devraient également prendre en charge la protection contre l'exécution.

La fonctionnalité DEP ou NX requiert l'activation du commutateur de démarrage de l'extension d'adresse physique (PAE). Cela permet la prise en charge de la PAE pour des machines fonctionnant généralement avec plus de 4 Go de RAM. La PAE charge un fichier de noyau de système d'exploitation différent (ntkrnlpa.exe pour les uni-processeurs et ntkrpamp.exe pour les multiprocesseurs). Pour plus d'informations à ce sujet, reportez-vous à la documentation actuellement disponible sur le site de support de Microsoft.


Protection contre les attaques par débordement de mémoire tampon sur les systèmes équipés de la puce NX
Les fonctionnalités DEP et de protection contre les attaques par débordement de mémoire tampon (BOP) de VSE n'entrent pas en conflit et n'empiètent pas directement l'une sur l'autre. VSE détecte un attribut particulier des tentatives d'exploit par débordement de mémoire tampon : les programmes qui tentent d'effectuer des opérations logiques et de prendre le contrôle du système. La DEP matérielle détecte un autre attribut : les programmes qui tentent de prendre le contrôle du système et d'effectuer des opérations logiques. Ces deux méthodes permettent de détecter et de bloquer les exploits, dont la réussite dépend en effet de ces deux attributs. La méthode à utiliser pour détecter un exploit particulier dépend de l'attribut qui émerge en premier. Cela dépend de la nature de la vulnérabilité exploitée et de la technique adoptée pour l'exploiter.

La fonction BOP de VSE est limitée à la protection d'une liste définie de processus, contrairement à DEP. Si vous devez désactiver l'une de ces fonctions, Intel Security vous recommande de désactiver BOP.

Pour plus d'informations sur DEP, consultez la page http://support.microsoft.com/kb/875352.

Clause d'exclusion de responsabilité

Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.

Noter ce document

Produits affectés

Beta Translate with

Select a desired language below to translate this page.